教育機関における情報セキュリティ対策

ホーム
コラム
教育機関における情報セキュリティ対策

教育機関における情報セキュリティ対策

プログラミング教育の必須化をはじめ、児童・学生がITを利用する場面がますます増えてきているのとあわせて、校内・学内ネットワークに日常的にアクセスする機会が増えてきています。

情報セキュリティ対策は、各組織の大切な情報資産を安全な状態で取り扱うための措置ですが、教育機関の場合は、利用者である児童・学生に対しても情報資産を安全に利用させることが重要な課題になっています。

実際に国内外で、児童・学生が成績情報を改ざんしたり、特定の個人情報を漏洩する事件が発生していています。

「教育情報セキュリティポリシーに関するガイドライン」の提言

そうした他の機関と比べて特異性がある教育機関に対して、2017年に文部科学省が設置した「教育情報セキュリティ対策推進チーム」から「教育情報セキュリティポリシーに関するガイドライン」が提言されました。

「教育情報セキュリティポリシーに関するガイドライン」では、共通の情報セキュリティポリシーを提示したうえで、校内・学内での情報資産を管理・保全するための体制作りなどを記した組織的・人的対策や盗難・損傷等による人的侵害から地震・水害・火災等による自然的侵害に対する対策を講じた物理的対策が具体的に記載されています。

また技術的な対策としては
・校務・教務システムと教育ネットワークとの分離
・成績情報などを保管する校務・教務系システムの一元管理と暗号化などの対策
・外部への情報資産持出しの対策
・本人認証の強化
が挙げられています。

＊教育情報セキュリティポリシーに関するガイドラインの詳細については、別コラムの記事もあわせて参照ください。
教育情報セキュリティポリシーに関するガイドラインについて

教育機関における情報セキュリティ対策の基本

教育機関では、多様な観点から総合的にセキュリティ対策を講じることが大切なことは、ガイドラインに記載されている通りですが、今回のコラムで付け加えて強調したい点は、教育機関の場合は、システムの利用者が教職員や在校生だけでなく、卒業生や保護者、また昨今では交換留学生や生涯学習者など多岐にわたる点です。

ポイント教育機関の情報セキュリティ対策は、児童・学生に対して安全に利用するための
対策とシステムの利用者が児童・学生や教職員だけでなく多岐にわたるため、
その利用者にあわせたセキュリティ対策や権限設定が必要です。

一人一IDの必要性

児童・学生から機微な情報資産を保護することが重要なのは、前述のとおりですが、ハッカーと言われる第3者からの攻撃が、公的機関と並んで教育機関が標的先となるケースが後を絶ちません。
その理由は諸説ありますが、その理由の一つとして　eduやacなど教育機関を記したドメインのなりすましにあると言われています。
教育機関の関係者は、通常高額なソフトウェアを安価で購入できたり、有償のサービスを無償で利用することができます。そうした教育機関の特典を借用する目的で、教育機関のIDやパスワードが標的となっています。

そうした環境下においても、1クラス全員で１つの共有IDを利用したり、教職員の方においても同じIDやメールアドレスを共通で利用しているケースが少なくありません。

そのような利用は、セキュリティ的にも好ましくないのは言うまでもありませんが、児童・学生に同じIDやパスワードを使用させることがICT教育のリテラシー的な観点からも望ましい状況ではないことは明白です。また児童・学生毎に対応したコンテンツの提供や学習状況に応じた教育を行うためにも、一人一IDは、今後のICT教育基盤では必要不可欠と言えるでしょう。

一方で、教育機関の場合は、毎年多数の入学者と卒業生が入れ替わります。新入生のID登録は入学確定と同時に即座に登録を求められることも多々にしてあるかと思います。教職員のIDにおいてもカリュキュラムやサービス変更に迅速に対応するため､所属などが頻繁に変更になるケースも多くなっています。利用するシステムも校務・教務システムから教育・学習システムなど多岐にわたりそのシステム毎に利用者を登録したり、利用者の権限を設定することが必要となります。
またオープンキャンパスなどのイベントにあわせて、一時的ID発行が求められることもあるでしょう。そうした教育機関における複雑なID管理を軽減し、システム間の連携をシームレスにおこなうソリューションとして、統合ID管理システムがあります。統合ID管理システムでは、異なるシステム間のID・パスワード情報を一元的に管理します。

ポイント教育機関の場合は、入学から卒業までの大量のID登録・削除と組織変更に伴う
迅速なID属性の変更など運営状況にあわせたID管理が重要です。

統合ID管理システムとは

教育機関の場合、教職員だけが利用する校務・教務システムから児童・学生が利用する教育システム、また保護者も参照する学生カルテシステム、企業関係者が登録する就職システムなどシステム毎に利用者が大きく異なります。
またシステムも学内システムからクラウドサービスまで多様な形態になっています。そうした多様なシステムに対して、システム毎にID情報を登録、変更したりすることは、システム管理者にとって大きな負担となっています。
結果として、退職者など本来そのシステムの利用権限がないIDが残ったままの状態になり、セキュリティリスクの要因となります。
また利用者にとってもシステム毎にパスワードを覚えることは大変なため、初期パスワードのまま利用していたり、授業などの肝心な時にパスワード忘れでシステムが利用できない事態が生じてしまいます。
そうした学内外のシステムのID・パスワードを一元的に管理するシステムが、統合ID管理システムになります。
システム管理者が、統合ID管理システム上で、ID登録や削除などを行うことで、連携しているシステムに登録されるだけでなく、属性情報を設定することで、各システム毎の権限設定も反映することができます。
また利用者にとっても初期パスワードから、自分が覚えやすく、自分しか知らないパスワードに変更することができます。またパスワードのリマインダーや再設定機能もあるシステムが一般的です。そうしたシステムを利用して、児童・学生にパスワードを自己管理させることは、ICTリテラシー教育の一環とも言えるでしょう。

＊統合ID管理システムの詳細については、別コラムの記事もあわせて参照ください。
統合ID管理システムの詳細について

一方でパスワードが何らかの理由で他人に知られた場合には、連携するシステムすべてを利用できてしまうため、パスワードの自己管理は勿論のこと、パスワード以外の生体認証や物理認証などを組み合わせた多要素認証を用いることにより、本人認証を強化することが推奨されます。

ポイント統合ID管理システムは、学内外のシステムのIDやパスワードを
一元的に管理するシステムで管理者の運用負荷やセキュリティリスクを軽減し、
また利用者にとっても利便を向上させます

多要素認証とシングルサインオン(SSO)

昨今は、学内外の様々なシステムがWebベースで提供されています。また利用する端末も学内のPCだけでなくiPadやChromebookなど複数の端末からアクセスすることが一般的になっています。
また昨今では、入学時に専用のPCやタブレットなどの「一人一台」の環境を整備する教育機関が増えてきています。そのため、どの端末からでもすぐにアクセスできるようにポータルサイトを入り口として各種システムにアクセスする利用形態が増えてきており、今後も主流になると思われます。

そうした各システムに対して、最初の認証手続きで各種システムにアクセスできるようにする技術がシングルサインオン(SSO)です。シングルサインオン(SSO)を実現する仕組みとしては、システムに、認証を代行するモジュールを組み込む(1)エージェント方式や、各システムにID/パスワードを自動的に代理で入力する(2)代理入力方式、各システム間をチケットと呼ばれる情報を受け渡しする(3)フェデレーション方式、そして各システムに対してエージェントを仕込んだリバースプロキシサーバ経由でアクセスする(4)リバースプロキシ方式があります。
一方で、シングルサインオンで使用するパスワードがなんらかの理由で、第3者に知られた場合には、第3者は連携するシステムに全てログインできるようになってしまい、大切な情報資産が漏洩する事態となります。そのような事態を防ぐために、パスワード以外の本人認証を強化する対策があわせて重要となります。
そうした「パスワード認証」以外に、さらに別の手段を使って本人であることを証明する方法を多要素認証といいます。多要素認証には、秘密の合い言葉の設定など本人しか知らない情報を利用する記憶情報方式、指紋や虹彩など本人の身体的特性を利用する生体情報方式、スマートフォンやクレジットカードなど本人だけが持っている情報を利用する所持情報方式があります。
昨今はスマートフォンの普及に伴い、まずはログイン画面でパスワードを入力して認証を行い、その後にスマートフォンにメールやSMSなどでパスワードが通知される2要素(異なる2つの要素の組み合わせ）認証がふえてきています。
またそうした多要素認証も、初めて利用する端末の場合のみや学外からの利用する場合など利便性を考慮して、TPOにあわせて設定することもできます。